新型恶意软件袭击电力网络的发现
关键要点
- Mandiant 发现的新恶意软件 CosmicEnergy,显示了工业攻击的门槛在降低。
- CosmicEnergy 旨在通过 IEC-104 协议干扰电力供应,可能影响全球多个地区的电力系统。
- 该恶意软件以往罕见的操作技术(OT)或工业控制系统(ICS)恶意软件引起了网络安全界的警惕。
- Mandiant 认为,CosmicEnergy 的出现可能表明开发进攻性 OT 功能的门槛正在降低。
近期研究显示,针对电力网络的新型恶意软件的发现令网络安全专家警惕,该恶意软件 CosmicEnergy和2016年曾瘫痪基辅电力供应的恶意软件相似,显示出工业网络攻击的技术门槛已在降低。
Mandiant 威胁研究小组在2021年12月发现该恶意软件,并将其命名为
CosmicEnergy。该恶意软件通过公开的恶意软件扫描工具上传时被识别出来。
在2023年5月25日 发布的对 CosmicEnergy 的最新分析中,Mandiant指出,此恶意软件的设计旨在通过与使用 IEC-104协议的设备互动来中断电力供应。这些设备如远程终端单元(RTU),在欧洲、中东和亚洲的电力传输与分配中广泛使用。
Mandiant 的报告指出,CosmicEnergy的发现十分罕见,这是因为能够造成网络物理影响的专业操作技术(OT)或工业控制系统(ICS)恶意软件往往难以被发现或披露。
恶意软件 | 描述 | 引起的关注
—|—|—
| 针对伊朗核设施的恶意软件 | 促使网络安全领域的警觉
| 设计用于攻击能源公司的恶意软件 | 持续引发关注
| 影响乌克兰媒体和能源公司的恶意软件 | 加强了关于网络基础设施的安全需求
Mandiant 还指出 CosmicEnergy 的一个独特之处在于,证据显示其是由承包商开发的,用作俄罗斯网络安全公司 Rostelecom-Solar主办的模拟电力中断演习的红队工具。
“这一发现表明,进攻性 OT 威胁活动的准入门槛正在降低,因为我们通常观察到此类能力主要限于资源丰富或由国家支持的行为者,”Mandiant 说。
研究小组的分析表明,CosmicEnergy 具备与
相似的能力,后者是2016年对乌克兰首都基辅进行电网攻击的恶意软件。CosmicEnergy 还与
相似,后者是2022年在乌克兰电力变电所中发现的更新版本,但未激活。
与 CosmicEnergy 类似,Industroyer 和其变种同样针对 IEC-104 设备,向 RTU 发布 IEC-104 开关命令,并可能使用
MSSQL 服务器访问 OT 系统。
“Mandiant 的报告指出,COSMICENERGY 的发现表明,开发进攻性 OT 能力的门槛正在降低,行为者利用以往攻击的知识来开发新恶意软件。”
“考虑到威胁行为者在实际环境中使用红队工具和公共利用框架进行有针对性的威胁活动,我们认为 COSMICENERGY 对受影响电网资产构成合理威胁。”
一旦 CosmicEnergy 访问到目标的 OT 系统,该恶意软件可通过远程命令启动电力
